Lic. Sistemas Computacionales Administrativa

MATERIA

AUDITORÍA INFORMÁTICA

UNIVERSIDAD DEL VALLE DE MÉXICO

EL PROCESO DE AUDITORÍA

PREFACIO

La Auditoría de Sistemas de Información (SI) es una parte del proceso general de auditoría, que es uno de los facilitadores de buen gobierno corporativo. Si bien no existe una definición única y universal de auditoría de SI, Ron Weber ha definido (EDP revisión - como se llamaba antes) como "el proceso de recopilación y evaluación de las pruebas para determinar si un sistema informático (sistema de información) Activos salvaguardias, mantiene integridad de los datos, logra las metas organizacionales y consumo efectivos de los recursos de manera eficiente. "1.

Los sistemas de información son el alma de cualquier negocio que dependa de la tecnología. Como en años anteriores, los sistemas informáticos no se limitaban a registrar las operaciones de negocios, ya que en realidad conducen los procesos clave del negocio de la empresa. En tal escenario, los directivos de gestión y de negocios de alto nivel tienen preocupaciones acerca de los sistemas de información. El propósito de la Auditoría de SI es revisar y dar retroalimentación, garantías y sugerencias. Estas preocupaciones pueden agruparse bajo tres amplios conceptos principales:

1. Disponibilidad: ¿Los sistemas de información en los que el negocio depende en gran medida están a disposición de la empresa en todo momento cuando es necesario? ¿Los sistemas están bien protegidos contra todo tipo de daños y desastres?

2. Confidencialidad: ¿La información de los sistemas sólo se comunicará a las personas que tienen la necesidad de verla y usarla y no a otra persona?

3. Integridad: ¿La información proporcionada por los sistemas siempre es precisa, confiable y oportuna? ¿Qué nos asegura de que ninguna modificación no autorizada puede hacer que los datos o el software en los sistemas?

1 Nota del autor: Por supuesto que hay otras preocupaciones que en auditoría se debería examinar, como la eficacia, la eficiencia, rentabilidad, rendimiento de la inversión, la cultura y los temas relacionados. Estos problemas serán abordados en auditoría de Fundamentos de TI en las columnas en los próximos números de la revista en 2002.]

Elementos de la Auditoría de SI

Un sistema de información no sólo es un computador. Los sistemas de información de hoy en día son complejos y tienen muchos componentes que integrar para hacer una solución de negocios. Las garantías sobre un sistema de información se pueden obtener sólo si son evaluados y asegurados todos los componentes. El eslabón más débil es la fuerza total de la cadena, reza el proverbio. Los principales elementos de la auditoría de SI se puede clasificar en términos generales:

1. Revisión Física y ambiental - Esto incluye la seguridad física, alimentación, aire acondicionado, control de humedad y otros factores ambientales.

2. Revisión de la administración del sistema- Esto incluye la revisión de seguridad de los sistemas operativos, sistemas de gestión de bases de datos , todos los procedimientos de administración del sistema y el cumplimiento.

3. Revisión del Software – El software de aplicación de negocios podría ser la nómina, facturación, un sistema de procesamiento de pedidos de clientes basado en la web o un sistema de planificación de recursos empresariales que actualmente dirige el negocio. La revisión de este tipo de software de aplicación incluye control de acceso y las autorizaciones, las validaciones, el error y el manejo de excepciones, flujos de procesos de negocio en el software de aplicación y los controles y procedimientos manuales complementarios. Además, una revisión del ciclo de vida de desarrollo del sistema debe ser completado. .

4. Seguridad de las redes - Revisión de las conexiones internas y externas al sistema, seguridad perimetral, opinión del firewall, las listas de control de acceso del router, escaneo de puertos y detección de intrusiones son algunas de las zonas típicas de la cobertura.

5. Continuidad del negocio - Esto incluye la existencia y mantenimiento de hardware tolerante a fallos y redundantes, los procedimientos de copia de seguridad y almacenamiento, un plan de continuidad del negocio y un plan de recuperación en caso de desastre documentado y probado.

6. Integridad de los datos opinión - El propósito de esto es el escrutinio de los datos en vivo para comprobar la adecuación de los controles y el impacto de las debilidades, según testimonio de cualquiera de las revisiones anteriores. Estas pruebas sustantivas se puede hacer usando software generalizado de auditoría (por ejemplo, técnicas de auditoría asistida por computador).

Todos estos elementos deben ser abordados para presentar a la Gerencia una evaluación clara del sistema. Por ejemplo, el software de aplicación puede estar bien diseñado e implementado con todas las características de seguridad , pero la contraseña de superusuario que por defecto trae el sistema operativo utilizado en el servidor puede no haber sido cambiada nunca, lo que permite a alguien acceder directamente a los archivos de datos. Esta situación anula cualquier garantía de integridad en la aplicación. Del mismo modo, es posible que los firewalls y la seguridad del sistema técnico se hayan implementado muy bien, pero las definiciones de funciones y controles de acceso en el software de la aplicación pueden haber sido tan mal diseñados e implementados que al utilizar sus ID de usuario, los empleados pueden llegar a ver la información crítica y sensible ahora más allá de sus roles.

Es importante entender que cada auditoría puede constar de estos elementos en diferentes medidas, algunos auditorías podrán examinar sólo uno de estos elementos o eliminar algunos de estos elementos de la auditoría. Aunque lo cierto es que hay que hacer una revisión de todo ello, no es obligatorio hacerla para todos ellos en una asignación. El conjunto de habilidades necesarias para cada uno de ellos son diferentes. Los resultados de cada auditoría necesitan ser visto en relación con el otro. Esto permitirá que el auditor y la administración puedan conseguir la visión total de los temas y problemas. Este panorama es crítico.

Enfoque basado en riesgos

Cada organización utiliza una serie de sistemas de información. Puede haber diferentes aplicaciones para diferentes funciones y actividades y puede haber un número de instalaciones de computadores en diferentes ubicaciones geográficas.

El auditor se enfrenta a las preguntas de qué auditar, cuándo y con qué frecuencia. La respuesta a esto es la adopción de un enfoque basado en el riesgo.

Si bien hay riesgos inherentes a los sistemas de información, estos riesgos afectan diferentes sistemas de diferentes maneras. El riesgo de no disponibilidad incluso durante una hora puede ser grave para un sistema de facturación en una tienda ocupada. El riesgo de una modificación no autorizada puede ser una fuente de fraudes y potenciales pérdidas para un sistema de banca en línea. Un sistema de procesamiento por lotes o un sistema de consolidación de datos pueden ser relativamente menos vulnerables a algunos de estos riesgos. Los entornos técnicos en los que los sistemas se ejecutan también pueden influir en el riesgo asociado con los sistemas.

Los pasos que se pueden seguir por un enfoque basado en el riesgo para hacer un plan de auditoría son:

1. Un inventario de los sistemas de información en uso en la organización y clasificarlos.

2. Determinar cuáles sistemas impactan a las funciones críticas o a los activos, como el dinero, los materiales, los clientes, toma de decisiones, y que tan cerca al tiempo real que operan.

3. Evaluar qué riesgos afectan a estos sistemas y la severidad del impacto en el negocio.

4. Clasifique a los sistemas basados en la evaluación anterior para decidir la prioridad de auditoría, los recursos, el calendario y la frecuencia.

El auditor puede entonces elaborar un plan de auditoría anual que enumera las auditorías que se llevará a cabo durante el año, de acuerdo con un horario, así como los recursos necesarios.

El proceso de auditoría

La preparación antes de comenzar una auditoría incluye la recolección de información de antecedentes y la evaluación de los recursos y habilidades necesarios para realizar la auditoría. Esto permite la asignación correcta del personal con el tipo de habilidades que se adjudicará al compromiso.

Siempre es una buena práctica tener una reunión formal de inicio de la auditoría con la alta dirección responsable del área que se audita para establecer el alcance, entender las preocupaciones especiales, en su caso, programar las fechas y explicar la metodología para la auditoría. Estas reuniones permiten que los auditados, puedan aclarar cuestiones y preocupaciones de negocio subyacentes. Después de la reunión, registrar en un documento o minuta que enliste los acuerdos establecidos ayudará a la auditoría a realizarse sin problemas.

Del mismo modo, una vez finalizado el ejercicio o escrutinio de auditoría, es una mejor práctica comunicar los resultados de la auditoría y sugerencias para la acción correctiva a la alta dirección en una reunión formal mediante una presentación del informe. Esto asegurará una mejor comprensión y aumentar el entendimiento de las recomendaciones

...